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- Drucksache 17/14722 - 


Die Rolle des Bundesamts für Sicherheit in der Informationstechnik 
in der PRISM-Ausspähaffäre 


Vorbemerkung der Fragesteller 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), dessen eigene 
Ursprünge im Bereich der Nachrichtendienste liegen - es ist aus der ehemaligen 
Zentralstellstelle für das Chiffrierwesen des Bundesnachrichtendienstes 
(BND) (www.bsi.bund.de) entstanden - hat sich bisher auffallend mit Kom- 
mentaren und Informationen zur sogenannten PRISM-Datenaffäre zurück- 
gehalten, hat aber auch keinerlei Informationen zu möglichen technischen Zu- 
sammenhängen geliefert. Auffallend deshalb, weil bei diesem Bundesamt 
zumindest die Expertise vorauszusetzen ist, die technischen Möglichkeiten, 
Sicherheitslücken und mögliche Gegenmaßnahmen aufzuklären und eventuell 
auch weitere Informationen zu liefern. 

In einer Presseinformation vom 26. Juli 2013 weist das BSI dagegen Vorwürfe 
einer Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste 
im Zusammenhang mit den Ausspähprogrammen PRISM und Tempora kate- 
gorisch zurück, sie „findet nicht statt“. Und weiter heißt es: „Das BSI hat we- 
der die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, 
Kommunikationsvorgänge oder sonstige Infonnationen am Internet-Knoten 
De-CIX oder an anderen Stellen in Deutschland auszuspähen. Das BSI verfügt 
zudem nicht über das Programm XKeyscore und setzt dieses nicht ein.“ 

Diese Zurückweisung einer so beschriebenen direkten Helfershelferrolle beim 
Ausspionieren deutscher und europäischer Bürgerinnen und Bürger im Zu- 
sammenhang mit PRISM hilft allerdings kaum dabei, die Rolle des BSI im Ge- 
flecht der Geheimdienst- und Sicherheitsbehörden tatsächlich zu klären. Denn 
in der Presseinformation heißt es weiter: 

„Das BSI tauscht sich im Rahmen seiner auf Prävention ausgerichteten Aufga- 
ben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu 
technischen Fragestellungen der IT- und Internet-Sicherheit aus [...] Im Kon- 
text der Bündnispartnerschaft NATO arbeitet das BSI auch mit der NSA zu- 
sammen. Diese Zusammenarbeit umfasst jedoch ausschließlich präventive As- 
pekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnis- 
sen des BSI gemäß des BSI-Gesetzes.“ 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 23. September 
2013 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Und etwas kryptisch geht es weiter: 

„In Deutschland besteht eine strukturelle und organisatorische Aufteilung in 
Behörden mit einerseits nachrichtendienstlichem bzw. polizeilichem Auftrag 
und dem BS1 mit dem Auftrag zur Förderung der Informations- und Cyber- 
Sicherheit. In anderen westlichen Demokratien bestehen mitunter Aufstellun- 
gen, in denen diese Aufgaben und Befugnisse in anderem Zuschnitt zusam- 
mengefasst werden. Die Zusammenarbeit des BSI mit diesen Behörden findet 
stets im Rahmen der präventiven Aufgabenwahmehmung des BSI statt [. . .]“. 

Es gibt demnach erstens eine intensive Zusammenarbeit mit den Geheim- und 
Nachrichtendiensten europäischer und außereuropäischer Staaten. Die inter- 
nationale Zusammenarbeit umfasst zweitens polizeiliche und geheimdienst- 
liche Sicherheitsbehörden, wobei das BSI meint, das in der Bundesrepublik 
Deutschland geltende Trennungsgebot nicht berücksichtigen zu müssen, weil 
es drittens nur im Bereich der Prävention kooperiere. 

Laut Gesetz zur Stärkung der Sicherheit in der Infonnationstechnik des Bun- 
des vom 14. August 2009 ist das BSI aber auch zuständig für die Unterstüt- 
zung der Verfassungsschutzbehörden und des BND, wobei „die Unterstützung 
nur gewährt werden darf, soweit sie erforderlich ist, um Tätigkeiten zu ver- 
hindern oder zu erforschen, die gegen die Sicherheit der Informationstechnik 
gerichtet sind oder unter Nutzung der Informationstechnik erfolgen“ (§ 3 Ab- 
satz 1 Nummer 13 des BSI-Gesetzes). 


Vorbemerkung der Bundesregierung 

Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des 
Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, 
ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamen- 
tarischen Informationsanspruch in Einklang gebracht werden kann (BVerfGE 
124, 161 [189]). Die Bundesregierung ist nach sorgfältiger Abwägung zu der 
Auffassung gelangt, dass die Frage 18 aus Geheimhaltungsgründen nicht in 
dem für die Öffentlichkeit einsehbaren Teil beantwortet werden kann. 

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Be- 
antwortung gestellter Fragen in der Öffentlichkeit angelegt. Die Einstufung der 
Antwort zu Frage 18 als Verschlusssache (VS) mit dem Geheimhaltungsgrad 
„VERTRAUL1CFI“ ist aber im vorliegenden Fall im Flinblick auf das Staats- 
wohl erforderlich. 

Nach § 3 Nummer 4 der Allgemeinen Verwaltungsvorschrift zum materiellen 
und organisatorischen Schutz von Verschlusssachen (Verschlusssachenanwei- 
sung, VSA) sind Informationen, deren Kenntnisnahme durch Unbefugte für die 
Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig 
sein können, entsprechend einzustufen. Die erbetenen Auskünfte sind geheim- 
haltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit 
der Arbeitsweise und Methodik der Nachrichtendienste und insbesondere ihren 
Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der 
technischen Aufklärungsfähigkeiten der Nachrichtendienste im Bereich der 
Femme ldeaufklärung stellt für ihre Aufgabenerfüllung einen überragend wich- 
tigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrich- 
tendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähig- 
keiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten be- 
treffend solche Fähigkeiten würde zu einer wesentlichen Schwächung der den 
Nachrichtendiensten zur Verfügung stehenden Möglichkeiten zur Informations- 
gewinnung führen. Dies würde für die Auftragserfüllung der Nachrichten- 
dienste erhebliche Nachteile zur Folge haben. Sie kann für die Interessen der 
Bundesrepublik Deutschland schädlich sein. Insofern könnte die Offenlegung 
entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland 
gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die 
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entsprechenden Informationen als Verschlusssache gemäß der VSA mit dem 
Geheimhaltungsgrad „VS - Vertraulich“ eingestuft und werden über die Geheim- 
schutzstelle des Deutschen Bundestages übermittelt. 


1 . Wie definiert und beschreibt die Bundesregierung die in der Presseinfor- 
mation genannte „präventive Aufgabenwahrnehmung“ des BSI im Bereich 
der europäischen und internationalen Zusammenarbeit (bitte ggf. Beispiele 
anführen)? 

Der gesetzliche Auftrag des Bundesamtes für Sicherheit in der Informa- 
tionstechnik (BSI) als nationale, zivile IT-Sicherheitsbehörde besteht aus- 
schließlich in der präventiven Förderung der Informations- und Cybersicher- 
heit. Die internationale Zusammenarbeit des BSI leitet sich aus seiner gesetz- 
lichen Aufgabenstellung ab. 

Diese besteht in der Förderung der Sicherheit in der Informationstechnik, ins- 
besondere die Abwehr von Gefahren für die Sicherheit der Informationstechnik 
des Bundes. Im Rahmen dieser Aufgabenstellung arbeitet das BSI im interna- 
tionalen Rahmen jeweils mit Behörden zusammen, denen die entsprechende 
Aufgabe in Partnerländern zugewiesen ist. Das gilt insbesondere für solche 
Länder, mit denen die Bundesrepublik Deutschland über supranationale und in- 
ternationale Organisationen verbunden ist (z. B. Europäische Union [EU], 
NATO). Zum Beispiel werden in den entsprechenden Arbeitsgruppen gemein- 
same Regelwerke erarbeitet. Hierbei geht es gemäß den jeweiligen Regel- 
werken um: 

• den sicheren Umgang mit EU- und NATO-Informationen, 

• den Schutz der Kommunikationsverbindungen innerhalb der EU bzw. NATO 
und zu den Mitgliedsstaaten, insbesondere Aspekte der Cybersicherheit, 

• Fragen der Interoperabilität in gesicherten Kommunikationsverbindungen. 


2. Wie sieht der vom BSI in der Presseinformation genannte regelmäßige in- 
ternationale Austausch zu technischen Fragestellungen der IT- und Inter- 
netsicherheit in der Regel aus? 

Das BSI tauscht sich im Rahmen seiner auf Prävention ausgerichteten Aufga- 
ben regelmäßig mit anderen Behörden innerhalb NATO und EU zu technischen 
Fragestellungen der IT- und Internet-Sicherheit aus. 

Dabei handelt es sich u. a. um die folgenden Themengebiete: 

• Mindestanforderungen zu Fragen der IT-Sicherheit in EU und NATO, 

• technische Warnmeldungen über Schwachstellen in IT-Produkten, über kon- 
krete Angriffe gegen Regierungsnetze, konkrete Sicherheitsvorfälle, etc., 

• internationale IT-Sicherheits-Übungen (IT-Krisenreaktionsübungen), 

• Möglichkeiten zur Abwehr von IT-Angriffen gegen Regierungsnetze. 


3. Seit wann kennt das BSI die Software XKeyscore, und durch wen und 
wann hat das BSI darüber aus welchem Anlass Kenntnis erlangt? 

Mitarbeiter des BSI waren bei einer externen Präsentation des Tools durch den 
Bundesnachrichtendienst (BND) im Jahr 2011 anwesend. 
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4. Testet das BSI inzwischen XKeyscore, und wenn ja, seit wann, und ggf. 
mit welchem Ergebnis? 

Das BSI hat XKeyscore zu keinem Zeitpunkt getestet. Das Tool ist sowohl aus 
technischer als auch aus rechtlicher Sicht offenkundig nicht für den Einsatz im 
Rahmen des BSI- Auftrags geeignet. 


5. Wie erklärt die Bundesregierung, dass das Bundesamt für Verfassungs- 
schutz (BfV) und der BND XKeyscore zur Erprobung bzw. zur Nutzung 
zur Verfügung gestellt bekommen und das BSI davon weder etwas weiß 
noch in die Erprobung und Nutzung miteinbezogen wurde? 

Es wird auf die Antwort zu den Fragen 3 und 4 sowie auf die Antwort der Bun- 
desregierung zu den Fragen 64 ff. der Kleinen Anfrage u. a. der Fraktion der 
SPD vom 14. August 2013 (Bundestagsdrucksache 17/14560) verwiesen. Eine 
Unterrichtung des BSI über bzw. eine Einbeziehung in die Erprobung und Nut- 
zung von XKeyscore war weder aus technischen noch aus rechtlichen Gründen 
erforderlich. 


6. Wann, und aus welchen Gründen bzw. Anlässen hat das BfV seit 2009 ein 
Ersuchen an das BSI um Unterstützung gestellt, das nach dem BSI-Gesetz 
aktenkundig gemacht werden muss? 

Das Bundesamt für Verfassungsschutz (BfV) hat ein solches Ersuchen nach § 3 
Absatz 1 Nummer 13b des Gesetzes über das Bundesamt für Sicherheit in der 
Informationstechnik (BSIG) in zwei Fällen gestellt: Im Jahr 2009 wurde das 
BSI um technische Flilfestellung bei der Reparatur eines Dienst-Flandys ge- 
beten. Im Jahr 2012 wurde das BSI um die Auswertung eines Datenträgers für 
das BfV gebeten. 


7. Wann und aus welchen Gründen bzw. Anlässen hat der BND seit 2009 ein 
solches Ersuchen an das BSI um Unterstützung gestellt? 

Entsprechende Unterstützungsersuchen wurden nicht gestellt. 


8. Hat die Bundesregierang seit Beginn der sogenannten PRISM-Affäre das 
BSI um Aufklärung gebeten? 

Wenn ja, mit welchem genauen Auftrag, und wenn nein, warum nicht? 

In Reaktion auf die Veröffentlichung im Magazin „DER SPIEGEL“ im Juni 
2013 hat das Bundesministerium des Innern das BSI um Prüfung für das in 
seine Zuständigkeit fallende Regierungsnetz sowie den VS-Bereich aufgefor- 
dert. Flierbei ergaben sich keine sicherheitskritischen Flinweise. 


9. In welcher Form und mit welchen Ergebnissen hat sich das BSI mit 
den Enthüllungen des Whistleblowers und ehemaligen NSA-Mitarbeiter 
Edward Snowden befasst? 

Flierzu wird auf die Antwort zu Frage 8 verwiesen. 
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10. Mit welchen Geheimdiensten der Vereinigten Staaten von Amerika 
(USA) kooperiert das BSI seit wann, und auf wessen Initiative ist diese 
Kooperation entstanden? 

Das BSI hat als die für IT-Sicherheit zuständige Behörde mit Gründung 1991 
die Zuständigkeit für alle präventiven Aufgaben übernommen. Über die in der 
Antwort zu Frage 1 beschriebenen Aufgaben ergab sich die Zusammenarbeit 
mit der NSA der USA aufgrund der jeweiligen Rolle als Nationale Kommu- 
nikationssicherheits- und Cybersicherheitsbehörde. Diese Zusammenarbeit re- 
sultierte direkt aus der Mitgliedschaft der Bundesrepublik Deutschland in der 
NATO. Auf die Antwort zu den Fragen 1 und 2 wird verwiesen. 


11. Was genau war und ist Inhalt dieser Kooperationen jeweils, und in wel- 
cher Form finden sie jeweils statt (Zeitraum, Tagungsweise, welche Mit- 
arbeiterebene usw.)? 

Die Kooperationsfelder leiten sich aus den Aufgaben der NATO in der Infor- 
mations- und Cybersicherheit ab. Zum Inhalt der Kooperation wird auf die Ant- 
wort zu Frage 1 verwiesen. Die bilaterale Zusammenarbeit findet anlass- und 
themenbezogen statt, die Zusammenarbeit innerhalb der NATO erfolgt in den 
dort geregelten Gremienstrukturen. 


12. ln welcher Weise arbeitet und arbeitete das BSI mit der National Security 
Agency (NSA) der USA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Flierzu wird auf die Antwort zu Frage 11 verwiesen. Im Kontext der Bündnis- 
partnerschaft NATO arbeitet das BSI auch mit der NSA zusammen. Diese Zu- 
sammenarbeit umfasst jedoch ausschließlich präventive Aspekte der IT- und 
Cybersicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß 
des BSIG. 


13. In welcher Weise arbeitet und arbeitete das BSI mit dem Central Security 
Service (CSS) der USA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Das BSI arbeitet und arbeitete nicht mit dem Central Security Service der USA 
zusammen. 


14. ln welcher Weise arbeitet und arbeitete das BSI mit der Abteilung Special 
Source Operations (SSO) der NSA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Das BSI arbeitet und arbeitete nicht mit der Abteilung Special Source Opera- 
tions der NSA zusammen. 


15. In welcher Weise arbeitet und arbeitete das BSI mit dem United States 
Cyber Command (USCYBERCOM) der USA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Das BSI arbeitet und arbeitete nicht mit dem USCYBERCOM der USA zusam- 
men. 
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16. In welcher Weise arbeitet und arbeitete das BSI mit der Central Intelli- 
gence Agency (CIA) der USA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Das BSI arbeitet und arbeitete nicht mit der Central Intelligence Agency der 
USA zusammen. 


17. ln welcher Weise arbeitet und arbeitete das BSI mit dem National Recon- 
naissance Office (NRO) der USA zusammen? 

Was beinhaltet diese Kooperation, und seit wann besteht sie? 

Das BSI arbeitet und arbeitete nicht mit dem National Reconnaissance Office 
der USA zusammen. 


18. Welche Treffen zwischen Mitarbeitern des BSI und Mitarbeitern der vor- 
genannten US-Einrichtungen gab es in den letzten 24 Monaten zu wel- 
chen Themen, und wo fanden diese Treffen jeweils statt? 

Zur Beantwortung der Frage 18 wird auf die Vorbemerkung der Bundesregie- 
rung sowie auf das bei der Geheimschutzstelle des Deutschen Bundestages hin- 
terlegte „VS - Vertraulich“ eingestufte Dokument verwiesen.* 


19. An welchen dieser Treffen nahmen auch Mitarbeiter welcher anderer 
deutschen Behörden teil? 

Mitarbeiter des BND haben an einem Expertentreffen zwischen der NSA und 
des BSI am 10. und 11. Dezember 2012 in Bonn teilgenommen. 


20. ln welcher Fonn hat das BSI bisher mit dem britischen Government Com- 
munication Headquarter (GCHQ) zusammengearbeitet, und welche prä- 
ventiven Aspekte waren Gegenstand der Kooperation? 

Die Themen der Zusammenarbeit mit dem Government Communication Head- 
quarter betreffen, wie in den Antworten zu den Fragen 1 und 2 dargestellt, die 
präventiven Aspekte, die sich aus der Zusammenarbeit in der NATO und EU er- 
geben. 


21. Hat das BSI nach Bekanntwerden der PRISM-Dokumente und der nach- 
folgenden Enthüllungen von sich aus Kontakt zu den maßgeblich Betei- 
ligten gesucht? 

Wenn ja, mit wem im Einzelnen, in welcher Form, und mit welchen Er- 
gebnissen? 

Wenn nein, warum nicht? 

Eine fachliche Kontaktaufnahme seitens des BSI zur NSA fand nicht statt, da 
eine Kontaktaufnahme auf ministerieller Ebene erfolgt ist. 


* Das Bundesministerium des Innern hat die Antwort als „VS - vertraulich“ eingestuft. 

Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach 
Maßgabe der Geheimschutzordnung eingesehen werden. 
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22. Haben europäische oder US-amerikanische Behörden die Initiative zu 
solchen Treffen nach den Enthüllungen ergriffen? 

Wenn ja, welche? 

Eine Kontaktaufnahme der amerikanischen und britischen Behörden zum BSI 
ist nicht erfolgt. 
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